网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　北京时间2017年5月12日全球爆发大规模勒索软件攻击，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”，漏洞软件名称为“Wannacry”，攻击者利用该漏洞，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。

　　据知道创宇404安全实验室分析确认，这一新型蠕虫勒索病毒正是利用了4月14日影子经纪人曝光的美国国家安全局使用的网络攻击工具，不明黑客组织利用改良后的 SMB远程命令执行工具实施感染。虽然微软已经推出相关修复补丁(MS17-101)，但仍有大量主机特别是内网主机并未完成补丁升级，造成了这些新型蠕虫勒索病毒的不断扩散。

　　二、事件分析

　　2017年4月14日黑客组织 Shadow Brokers(影子经纪人)公布Equation Group(方程式组织)的文件中首次出现MS17-010漏洞，该漏洞是利用Windows的445端口的SMB服务进行攻击，该漏洞级别属于高危(远程溢出漏洞)。

　　2017年5月12日爆发针对此漏洞的大规模勒索软件”Wanacry”，该勒索软件截图如下：

　　勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：Ncry@2ol7 解密并释放文件。该勒索软件会将系统内所有软件进行加密，需要用户缴纳不低于300美元的比特币才能解密。

　　这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。勒索软件会将系统中的所有照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密，且被加密的文件后缀名被统一修改为“.WNCRY”。

　　三、临时解决方案

　　● 开启系统防火墙

　　● 利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用445 端口的服务)

　　● 打开系统自动更新，并检测更新进行安装

　　有话提前说：

　　本次勒索软件爆发的时间点刚好处于我国周末，如发生在工作日期间，其蔓延速度恐怕会更加恐怖，所以对于网络运维人员来讲，周一(明天)最重要的工作就是对网络范围内的所有主机进行妥善的检测与修复工作。

　　做到以下几点会对你非常有帮助：

　　● 检测与修复之前有必要做全面断网处理;如对外主机不确定是否已经感染，内网主机应做脱离工作。

　　● 事先做好重要数据的备份工作。

　　(一) 针对win7、win8、win10操作步骤

　　1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

　　选择启用防火墙

　　2、过滤445端口

　　(1)选择高级设置

　　(2)选择入站规则

　　(3)选择右边的新建规则

　　(4)选择端口

　　(5)选择TCP协议，本地特定端口445

　　(6)选择阻止连接

　　(7)选择所有规则

　　(8)名称随便填写，然后选择启用

　　(二)针对XP系统

　　1、打开防火墙

　　依次打开控制面板-Windows防火墙，选择启用防火墙

　　2、关闭smb服务

　　依次点击开始-运行-输入cmd，然后依次输入以下几条命令

　　net stop rdr

　　net stop srv

　　net stop netbt

　　(三)通用解决方案

　　微软官方补丁地址：https://support.microsoft.com/zh-cn/help/4012598/title(优先在线更新，如暂停支持请与支持列表中手动下载更新)

　　重要：在线更新需确认已经实施445端口过滤，手动更新请与安全网络环境下下载更新包，主机断网后执行更新补丁)

　　四、检测方案

　　建议采用知道创宇自研发的雷达系统和云图大数据威胁系统进行该漏洞的扫描探测和勒索软件的探测服务。

　　(一)资源漏洞扫描服务